當(dāng)組織使用API（應(yīng)用程序編程接口）與第三方互動(dòng)時(shí)，必須了解所引入的相關(guān)安全隱患。以零售商為例。現(xiàn)在，許多零售商將信用卡作為第三方在線交易。這樣，零售商可以減少持卡人的足跡，并減少支付卡行業(yè)（PCI）標(biāo)準(zhǔn)的風(fēng)險(xiǎn)。但這些數(shù)據(jù)卻分流給了潛在的無擔(dān)保第三方。

由此，引入了一些關(guān)鍵問題。轉(zhuǎn)移給第三方是提供了解決方案還是引入了新的問題？零售商如何提供無縫的客戶體驗(yàn)，同時(shí)又將如何保護(hù)客戶的關(guān)鍵數(shù)據(jù)？

問題：API濫用和枚舉攻擊

想要了解這兩個(gè)問題，可以參考信用卡在線購買食品的處理工作流程為例。首先將個(gè)人要購買的物品放入購物車，然后開始結(jié)賬過程，輸入付款和交貨信息。

在此階段，黑客都可以將交易從其網(wǎng)絡(luò)瀏覽器推送到攔截代理，以進(jìn)行工作流分析。最近，在研究零售商如何更好地緩解這些威脅時(shí)進(jìn)行了分析。

在攔截代理中檢查到的工作流程顯示了應(yīng)提交用于購買的付款信息。但是，它還顯示了其他新的API端點(diǎn)。進(jìn)一步研究此交易后，注意到信用卡詳細(xì)信息的HTTP-POST，該信息已通過API發(fā)送給第三方。來自第三方API的響應(yīng)包括該特定食品零售商將需要使用該令牌來匹配此交易并最終獲得付款。

假如用逆向思維來評(píng)估風(fēng)險(xiǎn)。如果有付款信息，包括信用卡號(hào)和有效期，但沒有信用驗(yàn)證值（CVV），是否可以使用枚舉技術(shù)嘗試獲得令牌？

為了找到這個(gè)問題的答案，研究人員從請(qǐng)求中剝離了所有cookie、令牌、跟蹤器等，發(fā)現(xiàn)仍然可以找回令牌。將API標(biāo)記化服務(wù)請(qǐng)求加載到了攔截代理中，并進(jìn)行了一系列調(diào)用，將所有可能的CVV與卡和到期日期結(jié)合在一起，從而能允許創(chuàng)建包含正確值的偽造標(biāo)記。從這里開始，研究人員設(shè)置了一個(gè)輪換，以順序創(chuàng)建從100到999的請(qǐng)求，而標(biāo)記化腳本完美運(yùn)行。

如果研究人員是黑客的身份，那么這里的最后一步是將這些生成的令牌逐個(gè)輸入到結(jié)賬流程中，直到成功匹配為止。

解決方案：了解阻止惡意行為的API

利用零售商的API和第三方API，黑客可以高速實(shí)施此類惡意行為。并且，如果使用代理將這些操作分布在多個(gè)IP地址上，那么零售商將很難注意到正在發(fā)生的事情。

那么，解決方案是什么？第一步是測試API功能和行為。如果可以提交多個(gè)令牌來找到正確的缺失值，那么應(yīng)該設(shè)置一個(gè)事務(wù)計(jì)數(shù)器，該計(jì)數(shù)器允許用戶出錯(cuò)，并在經(jīng)過一定次數(shù)的嘗試后作為結(jié)賬工作流的一部分，強(qiáng)制重新進(jìn)行認(rèn)證。同樣，也建議與供應(yīng)商合作，要求結(jié)賬流程僅來自有效訂單。應(yīng)該密切監(jiān)視這方面的潛在濫用。

持續(xù)監(jiān)視這種惡意行為，自動(dòng)阻止多個(gè)可疑提交并創(chuàng)建欺騙性環(huán)境以混淆潛在攻擊者至關(guān)重要。這些類型的攻擊會(huì)持續(xù)很長時(shí)間，并且可能涉及數(shù)千個(gè)錯(cuò)誤請(qǐng)求。為了保護(hù)組織，安全團(tuán)隊(duì)必須確定潛在的風(fēng)險(xiǎn)領(lǐng)域，學(xué)會(huì)發(fā)現(xiàn)這種活動(dòng)的模式，并從具有這些領(lǐng)域?qū)I(yè)知識(shí)的外部資源中尋求幫助。只有這樣，組織才會(huì)采取強(qiáng)有力的安全措施，以幫助減輕這些風(fēng)險(xiǎn)。

本文翻譯自：https://threatpost.com/third-party-apis-enumeration-attacks/162589/如若轉(zhuǎn)載，請(qǐng)注明原文地址

及時(shí)掌握網(wǎng)絡(luò)安全態(tài)勢 盡在傻蛋網(wǎng)絡(luò)安全監(jiān)測系統(tǒng)

【網(wǎng)絡(luò)安全監(jiān)管部門】免費(fèi)試用

本文來源:threatpost.com

如涉及侵權(quán)，請(qǐng)及時(shí)與我們聯(lián)系，我們會(huì)在第一時(shí)間刪除或處理侵權(quán)內(nèi)容。
電話：400-869-9193 負(fù)責(zé)人：張明